Il selvaggio mondo del malware: come proteggere la vostra azienda

Il selvaggio mondo del malware:
come proteggere la vostra azienda
dall'interno
Le minacce sono in continua evoluzione, ma la vostra
protezione firewall potrebbe non essere più all'altezza.
È giunta l'ora di guardare oltre le soluzioni tradizionali
di sicurezza di rete e integrare la protezione contro il
malware e gli exploit che attraversano PC e dispositivi
mobili quando gli utenti navigano in Internet, inviano o
ricevono e-mail e scaricano applicazioni.
Poiché il numero e la gravità dei crimini informatici continua ad aumentare, è importante conoscere i vari tipi
di malware e capire come funzionano. Ciò riguarda in particolare le piccole e medie imprese, che in genere
non dispongono di personale IT dedicato esclusivamente alla sicurezza della rete. Questo documento
esamina i fattori alla base dello sviluppo del malware attuale, ne analizza le caratteristiche, illustra il modo in
cui si manifestano in rete e spiega come rimediare ad ogni tipologia di malware.
Benché i nomi di molte forme di malware potrebbero suonare familiari, essi continuano a evolversi mentre le
contromisure volte ad eliminarli obbligano all'adattamento. Oggi l'adattamento è condotto da criminali
professionisti. Pur essendovi ancora dei dilettanti che cercano di impressionare i loro amici o che
semplicemente si divertono a codificare e rilasciare malware di vario genere. Di gran lunga più pericolose
sono tuttavia le bande criminali organizzate e transnazionali che distribuiscono il malware a scopo di lucro.
Questi schemi comprendono:
ƒ
ƒ
Estorsione, con il blocco o l'interruzione dell'uso dei computer e la successiva richiesta di denaro per
rimuovere l'interruzione. Spesso questi attacchi assumono la forma di una falsa scansione del computer
e la vendita di un altrettanto inutile software "antivirus". Questa tecnica può essere utilizzata per
raccogliere informazioni relative alla carta di credito. Talvolta il software acquistato è uno "scareware ",
che spinge a effettuare ulteriori acquisti o continua a esigere pagamenti per "abbonamenti".
Furto, con la sottrazione di beni elettronici. Questo schema può includere: dati personali (furto di
identità) dalla documentazione di dipendenti o clienti; informazioni di natura economica e password;
commercio di informazioni riservate e beni aziendali che possono essere venduti alla concorrenza;
account di posta elettronica, comprese le rubriche, da utilizzare per gli invii di spam (da fonti
apparentemente attendibili); sfruttamento delle risorse dei computer stessi (zombie), che vengono
quindi controllati dai criminali a qualunque scopo, dal mailing di spam fino ad ospitare materiali
pornografici.
Il software che permette questi crimini è classificato come malware. Per quanto il malware sia sempre più
preoccupante, esistono modi semplici ed estremamente efficaci per affrontarlo. Ma prima, occorre
conoscere il proprio nemico. Il tipico malware è costituito da sei tipologie principali: virus, worm, Trojan,
spyware, adware e rootkit.
Virus
Probabilmente il tipo di malware più noto sono i virus. I virus informatici esistono da decenni, ma la
premessa di base è rimasta costante. Pensati in genere per infliggere danni nei confronti dell'utente finale, i
virus informatici sono in grado di cancellare un intero disco fisso, rendendo inutilizzabili i dati in pochi attimi.
Proprio come i virus biologici si riproducono quando infettano una cellula ospite, i virus informatici spesso si
riproducono e diffondono attraverso un sistema infetto. Altri tipi di virus vengono utilizzati per 'cercare e
distruggere' tipi di file specifici o porzioni di disco fisso. I criminali che effettuano furti informatici spesso
rilasciano un virus sui sistemi violati dopo aver estratto le informazioni desiderati al fine di distruggere prove
di valore legale.
I virus informatici sono stati inizialmente diffusi attraverso la condivisione di floppy disk infetti. L'evoluzione
della tecnologia ha avuto effetto anche sul metodo di distribuzione. Oggi i virus vengono comunemente
diffusi attraverso la condivisione di file, download da Internet e allegati di posta elettronica. Per infettare un
sistema, il virus deve essere eseguito sul sistema di destinazione; i virus dormienti che non sono stati
eseguiti non costituiscono una minaccia immediata. Di solito i virus non presentano scopi legittimi e in alcuni
paesi è illegale possederne.
Worm
2
I worm informatici esistono sin dalla fine degli anni '80, ma non hanno avuto particolare importanza finché le
infrastrutture di rete all'interno delle aziende non sono divenute comuni. A differenza dei virus informatici, i
worm hanno la capacità di diffondersi attraverso le reti senza alcuna interazione umana.
Una volta infettato da un worm, il sistema compromesso inizia la scansione della rete locale nel tentativo di
individuare ulteriori vittime. Dopo aver individuato un bersaglio, il worm sfrutta le vulnerabilità del software
nel sistema remoto, iniettando del codice dannoso al fine di completare il danno. Per via del metodo di
attacco impiegato, i worm riescono a infettare solo i sistemi della rete che hanno in esecuzione sistemi
operativi specifici. I worm sono spesso visti più come un fastidio che come una minaccia reale. Tuttavia, essi
possono essere utilizzati per diffondere malware di altro genere o infliggere danni ai sistemi di destinazione.
Trojan
Come i virus, i Trojan richiedono in genere un certo tipo di interazione da parte dell'utente al fine di infettare
un sistema. Tuttavia a differenza di molti worm e virus, i Trojan cercano spesso di rimanere inosservati sul
sistema ospite compromesso. I Trojan sono piccoli pezzi di codice eseguibile incorporati in un'altra
applicazione. In genere il file infetto è un'applicazione utilizzata regolarmente dalla vittima (come Microsoft
Word o la calcolatrice di Windows). L'obiettivo è far sì che la vittima esegua inconsapevolmente il codice
dannoso lanciando un programma altrimenti innocuo. In pratica, spesso i Trojan infettano un sistema senza
provocare alcun tipo di notifica.
Esistono diversi tipi di Trojan, ognuno in grado di rispondere a uno scopo diverso. Alcuni Trojan sono
progettati appositamente per estrarre i dati sensibili dal sistema infetto: questi tipi di Trojan, in genere,
installano dei keylogger o scattano degli screenshot del computer della vittima e trasmettono
automaticamente le informazioni a chi ha lanciato l'attacco. Altri tipi di Trojan, più pericolosi, sono i "Trojan di
accesso remoto" (RAT, "remote access Trojan"), che prendono il controllo del sistema infetto, aprendo una
backdoor attraverso la quale un utente malintenzionato potrà accedere successivamente. I RAT sono
utilizzati tipicamente per la creazione di botnet.
Spyware/adware
Come alcuni tipi di Trojan, lo spyware è utilizzato per raccogliere e trasmettere informazioni sensibili al suo
distributore. Di norma, lo spyware non è dannoso di per sé. Tuttavia, spesso è la causa di situazioni
fastidiose, poiché tipicamente infettano i browser Web rendendoli pressoché inutilizzabili. Lo spyware è
spesso usato per scopi di marketing ingannevoli, come ad esempio attività di monitoraggio degli utenti a loro
insaputa. Talvolta lo spyware può essere mascherato da applicazione legittima, fornendo all'utente un
qualche beneficio, ma registrandone segretamente i modelli di comportamento e di utilizzo.
Come lo spyware, anche l'adware è un fastidio notevole per gli utenti. Di solito, però, non è dannoso per
natura. L'adware, come suggerisce il nome, viene in genere utilizzato per diffondere messaggi pubblicitari
che forniscono un certo tipo di benefici finanziari al responsabile dell'attacco. Dopo essere stata infettata
dall'adware, la vittima viene bombardata di pop-up, barre degli strumenti e altri tipi di pubblicità quando tenta
di accedere a Internet. Di solito l'adware non causa danni permanenti a un computer. Tuttavia può rendere il
sistema inutilizzabile se non viene rimosso correttamente.
Rootkit
Probabilmente il tipo più pericoloso di malware sono i rootkit. Come i Trojan di accesso remoto, anche i
rootkit forniscono all'aggressore il controllo su un sistema infetto. Tuttavia, a differenza dei Trojan, i rootkit
sono estremamente difficili da rilevare o rimuovere. I rootkit vengono tipicamente installati nelle risorse di
sistema a basso livello (al di sotto del sistema operativo). Per questo motivo, i rootkit spesso passano
inosservati ai tradizionali software antivirus. Una volta infettato da un rootkit, il sistema bersaglio può essere
accessibile da un utente malintenzionato che avrà libero accesso al resto della rete.
3
Come riconoscere un'infezione
Il malware nel traffico di rete o su un computer rende nota la sua presenza in uno dei tre modi seguenti:
ƒ
ƒ
ƒ
Una "signature" è una sorta di impronta digitale o modello nel file che può essere riconosciuta da un
sistema di sicurezza di rete, come un firewall, anche prima che la minaccia giunga a un computer. Se
tale file raggiunge effettivamente un computer, il software antivirus/antimalware sulla macchina
dovrebbe individuarlo.
Un tipo di file sospetto che si presenta fuori contesto, come un file eseguibile (.exe) o un valore di
registro nascosto in un file compresso come un file .zip.
Comportamento: anche un rootkit può rivelarsi quando "telefona a casa", ossia quando contatta
l'operatore che lo controlla. Se questo comportamento è anomalo, ad esempio in termini di volume di
traffico o momento della giornata, può essere indizio di un sistema compromesso.
Le misure di sicurezza standard legate ad avere un software antivirus installato e costantemente aggiornato
su tutte le macchine permettono di fronteggiare i colpevoli più comuni. Le loro "signature", infatti, ne
tradiscono la presenza. Le aziende specializzate nella sicurezza di rete hanno degli "zuccherini" in tutto il
mondo, come la rete Collaborative Cross-vector GRID di SonicWALL, che attraggono deliberatamente ogni
nuova versione di malware per identificarne la signature e distribuirla con gli aggiornamenti antimalware
regolari. Una volta rilevata la signature, il software di sicurezza è in grado di identificare il malware e porvi
rimedio non appena si presenta. Le aziende specializzate in sicurezza più sofisticate compiono un passo
ulteriore. Ad esempio, la rete GRID di SonicWALL compila un database cloud con tutte le signature delle
nuove minacce immediatamente dopo la loro identificazione in ogni parte del mondo. Le appliance di
sicurezza SonicWALL, oltre alle decine di migliaia di signature memorizzate in locale, si appoggiano anche
a questo database cloud. I file scansionati vengono confrontati con questo database completo di eseguibili
dannosi in tempo reale per una protezione ancora più completa.
Riconoscere un tipo di file nascosto è leggermente più difficile. Alcune aziende hanno regole globali per
quanto riguarda i tipi di file che possono transitare sulla rete. Ad esempio, alcune aziende non permettono la
trasmissione di file compressi all'interno del loro firewall. Tuttavia, questo metodo può pregiudicare i normali
flussi di traffico. Un approccio più sofisticato e meno invasivo è l'esecuzione di una RFDPI (ReassemblyFree Deep-Packet Inspection) su ogni pacchetto di dati che transita in rete. Questa operazione viene
eseguita dalle soluzioni firewall di livello superiore, come SonicWALL, che letteralmente guardano all'interno
del carico di dati per verificarne il contenuto. Questo processo individua le minacce nascoste e le rimuove
dal flusso.
Il comportamento è l'indicatore più difficile da riconoscere. Se qualche forma di malware riesce a passare i
controlli, la maggior parte delle persone non ne è consapevole finché le prestazioni della macchina infetta
diventano troppo lente o irregolari. I firewall di nuova generazione (NGFW) sono in grado di identificare i
comportamenti sospetti prima ancora che giungano a tal punto. Riconoscendo le attività di rete insolite, quali
le comunicazioni con un altro paese, un NGFW può aiutare gli amministratori a isolare il malware per la
consentirne la rimozione.
L'intelligenza di questi sistemi di sicurezza può essere regolata per applicare delle policy relative alle attività
di rete, proprio come un'azienda applicherebbe dei regolamenti sul comportamento dei propri dipendenti. Ad
esempio, una policy potrebbe consentire l'uso dell'instant messaging, vietare la trasmissione di file con
messaggi istantanei. Se non vi è alcuna necessità per una tale attività, il fatto che un computer stia tentando
tale comportamento suggerisce che la macchina è controllata da qualcuno che non è un dipendente: un
bollino rosso che indica la possibile presenza di malware. Altrettanto importante è il fatto che l'attività
pericolosa verrebbe bloccata automaticamente.
4
Evitare l'infezione, prima di tutto
Come nel caso delle infezioni biologiche, la medicina migliore è la prevenzione. A tal fine, è opportuno
ricorrere a idonee misure di sicurezza.
I firewall di nuova generazione dotati della funzionalità sopra descritta sono in grado di identificare la
stragrande maggioranza dei malware che tentano di entrare nella rete di un'azienda. Essi comprendono gli
attacchi che coinvolgono lo spam via e-mail, il phishing tramite siti Web falsi e i "drive-by download", che
iniettano il malware durante una visita ad un sito apparentemente sicuro. Ciascuno di questi metodi di
infezione utilizza un diverso approccio che richiede diversi metodi di identificazione. I NGFW possono
applicare tutti questi metodi contemporaneamente da un'unica appliance di sicurezza.
Un dispositivo NGFW di alto livello, ad esempio di SonicWALL, offre funzionalità opzionali per identificare le
minacce nello spam via e-mail, in file nascosti e nei drive-by download in base alle relative signature o al
loro comportamento. Quest'ultima categoria, i drive-by download, è particolarmente degna di nota, dal
momento che un gran numero di transazioni avviene oggi online, come l'accesso alle informazioni in remoto
o gli acquisti. Ciò che si presenta come una transazione legittima sul Web 2.0 può mascherare il passaggio
del malware. Una soluzione NGFW affidabile analizza il traffico Internet per individuare esattamente questi
tipi di comportamento delle applicazioni.
Quando la soluzione di sicurezza utilizza la RFDPI, è sufficiente eseguire una volta la scansione dei file che
tentano di entrare nella rete per poter fronteggiare tutte le potenziali minacce. In pratica, il traffico di rete può
scorrere più agevolmente, fornendo una migliore esperienza d'uso e una maggiore produttività. Ne
consegue un ulteriore vantaggio che permette di sfruttare al meglio una connessione ad alta velocità e,
eventualmente, ridurre la necessità di costosa larghezza di banda.
Le tecnologie consolidate nei NGFW eliminano inoltre il bisogno di più dispositivi, come firewall, filtri antispam e filtri dei contenuti. Considerati nel loro insieme, si tratta di argomenti economici di grande impatto a
favore di un firewall di nuova generazione.
Riepilogo
Il malware continua ad affliggere il mondo delle reti aziendali. Ma anche se i criminali che creano il malware
sono diventati più importanti e più sofisticati, la tecnologia per contrastarli è cresciuta altrettanto.
Ora anche le imprese di minori dimensioni possono godere di livelli di protezione che, in sostanza, li vaccina
contro molte forme di malware. E queste aziende possono farlo con bassi costi d'implementazione.
Riconoscendo la minaccia rappresentata dal malware moderno e implementando una moderna soluzione di
sicurezza, il selvaggio mondo del malware può rimanere isolato. E le imprese possono procedere in maniera
sicura, efficiente e redditizia.
5
Profilo di SonicWALL
SonicWALL®, Inc. fornisce soluzioni intelligenti per la sicurezza di rete e la protezione dei dati che
permettono a clienti e partner, in tutto il mondo, di proteggere, controllare e scalare in modo dinamico le loro
reti globali. Basata su una rete condivisa di milioni di punti di contatto globali, SonicWALL Dynamic Security
si affida alla rete SonicWALL Global Response Intelligent Defense (GRID) e al Threat Center SonicWALL
per garantire un livello costante di comunicazione, feedback e analisi sulla natura e sul comportamento
mutevole delle minacce in tutto il mondo I laboratori di ricerca SonicWALL elaborano ininterrottamente
queste informazioni, fornendo in modo proattivo strumenti di difesa e aggiornamenti dinamici in grado di
contrastare le minacce anche più recenti. Sfruttando la tecnologia proprietaria brevettata Reassembly-Free
Deep Packet Inspection™ in combinazione con un'architettura hardware multicore parallela ad alta velocità,
SonicWALL può scansionare e analizzare simultaneamente svariate minacce a velocità wire speed e fornire
inoltre l’infrastruttura necessaria a supportare la scalabilità dell’intera soluzione in implementazioni ad
elevata larghezza di banda. Le soluzioni sono disponibili per piccole e medie imprese e per le grandi
aziende e vengono implementate con successo in grandi ambienti aziendali, in aziende distribuite e
organizzazioni di vario tipo: dagli enti statali alla sanità, dal settore retail/POS fino ai service provider.
Per maggiori informazioni:
Soluzioni per piccole e medie imprese
www.sonicwall.com/us/solutions/Solutions_for_Small_Medium_Business.html
Soluzioni per grandi aziende
www.sonicwall.com/us/solutions/Solutions_for_the_Enterprise.html
Soluzioni per settore
www.sonicwall.com/us/solutions/Solutions_For_Verticals.html
Responsabile vendite SonicWALL
www.sonicwall.com/us/Contact_Sales.html
+39.333.2735518.
©2012 SonicWALL, Inc. è un marchio registrato di SonicWALL, Inc. I nomi di altri prodotti qui menzionati possono essere
marche e/o marchi registrati delle rispettive società. Dati tecnici e descrizioni sono soggetti a modifiche senza preavviso.
XXXX_US
6